Kaj je conhost.exe in zakaj se izvaja?
Brez dvoma ste prebrali ta članek, ker ste naleteli na proces konzole Window Host (conhost.exe) v upravitelju opravil in se sprašujete, kaj je to. Odgovor imamo za vas.
Ta članek je del naše stalne serije, v kateri so opisani različni procesi v upravitelju opravil, kot so svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe in mnogi drugi. Ne veste, kaj so te storitve? Bolje začnite brati!
Torej, kaj je proces konzolnega okna?
Razumevanje konzolnega okna Proces gostitelja zahteva nekaj zgodovine. V dnevih operacijskega sistema Windows XP se je ukazni poziv obdelal s procesom, imenovanim Storitev izvajalnega okolja odjemalca ClientServer (CSRSS). Kot že ime pove, je bil CSRSS sistemska storitev. To je ustvarilo nekaj težav. Prvič, sesutje v CSRSS bi lahko zmanjšalo celoten sistem, ki ni bil izpostavljen samo težavam z zanesljivostjo, temveč tudi varnostne ranljivosti. Druga težava je bila, da CSRSS ni bilo mogoče tematizirati, ker razvijalci niso hoteli tvegati kode teme, da bi se izvajali v sistemskem procesu. Torej je ukazni poziv vedno imel klasičen videz namesto novih elementov vmesnika.
Na sliki Windows XP spodaj je prikazano, da ukazni poziv ne dobi enakega sloga kot aplikacija, kot je beležnica.
Windows Vista je predstavil namizje Windows Window Manager - storitev, ki „namesti“ sestavljene poglede oken na namizje, namesto da bi vsakemu posameznemu aplikaciji omogočil, da to sam obravnava. Ukazna vrstica je od tega pridobila nekaj površnih tem (kot je stekleni okvir, ki je prisoten v drugih oknih), vendar je prišel na račun tega, da je lahko v okno ukaznega poziva povlekel in spustil datoteke, besedilo in tako naprej..
Še vedno pa je bilo, da so se teme še tako daleč. Če pogledate konzolo v operacijskem sistemu Windows Vista, izgleda, da uporablja isto temo kot vse ostalo, vendar boste opazili, da drsniki še vedno uporabljajo stari slog. To je zato, ker upravljalnik namiznih oken obravnava risanje naslovnih vrstic in okvirja, toda v starem oknu CSRSS še vedno sedi notri.
Vnesite Windows 7 in proces Host Host Window. Kot že ime pove, je proces gostitelja za okno ukazne mize. Postopek je nekako v sredini med CSRSS in ukaznim pozivom (cmd.exe), kar omogoča, da sistem Windows popravi oba prejšnja elementa vmesnika izdaj, na primer, da se drsni trakovi pravilno narišejo, in spet lahko povlečete in spustite v ukazni poziv. In to je metoda, ki se še vedno uporablja v operacijskih sistemih Windows 8 in 10, kar omogoča vse nove elemente vmesnika in oblikovanje, ki so se pojavili že od operacijskega sistema Windows 7. \ t.
Čeprav upravitelj opravil predstavi Host Console Window kot ločeno entiteto, je še vedno tesno povezan s CSRSS. Če v Process Explorerju preverite proces conhost.exe, lahko vidite, da se dejansko izvaja v procesu csrss.ese..
Na koncu je Host Console Window Host podoben ukazni lupini, ki ohranja moč izvajanja storitve na ravni sistema, kot je CSRSS, medtem ko še vedno varno in zanesljivo podeljuje zmožnost integracije modernih elementov vmesnika..
Zakaj obstaja več primerov poteka procesa?
Pogosto boste videli več primerov procesa gostiteljskega okna, ki se izvaja v upravitelju opravil. Vsak primerek zagona ukaznega poziva bo ustvaril lasten proces Host Host Window. Poleg tega bodo druge aplikacije, ki uporabljajo ukazno vrstico, ustvarile svoj lasten proces konzole Windows Host, tudi če ne vidite aktivnega okna zanje. Dober primer tega je aplikacija Plex Media Server, ki deluje kot ozadje in uporablja ukazno vrstico, da je na voljo drugim napravam v vašem omrežju..
Mnoge aplikacije v ozadju delujejo na ta način, zato ni nič nenavadnega, da se v vsakem trenutku prikaže več primerkov procesa gostitelja okna konzole. To je normalno vedenje. V večini primerov mora vsak proces zavzeti zelo malo pomnilnika (običajno pod 10 MB) in skoraj nič CPU, razen če je proces aktiven.
To pomeni, da, če opazite, da določen primerek gostitelja oken konzole ali sorodne storitve povzroča težave, kot je nenehno čezmerno uporabo CPU ali RAM, lahko preverite v določene aplikacije, ki so vključene. To bi vam lahko vsaj dalo idejo, kje začeti odpravljati težave. Žal Task Manager sam po sebi ne nudi dobrih informacij o tem. Dobra novica je, da Microsoft ponuja odlično napredno orodje za delo s procesi kot del svoje linije Sysinternals. Preprosto prenesite Process Explorer in ga zaženite - to je prenosna aplikacija, zato je ni treba namestiti. Process Explorer ponuja vse vrste naprednih funkcij in priporočamo vam, da preberete naš vodnik za razumevanje Process Explorerja, če želite izvedeti več.
Najlažji način za sledenje teh procesov v programu Process Explorer je, da najprej pritisnete Ctrl + F, da začnete iskanje. Poiščite »conhost« in nato kliknite rezultate. Kot vi, boste videli spremembo glavnega okna, da prikažete aplikacijo (ali storitev), povezano s tem določenim primerom Host Console Window.
Če uporaba CPE-ja ali RAM-a kaže, da je to primerek, ki vam je povzročal težave, potem ste ga vsaj omejili na določeno aplikacijo.
Ali bi ta proces lahko bil virus?
Sam proces je uradna komponenta sistema Windows. Čeprav je možno, da je virus zamenjal pravi Host konzolnega okna z lastno izvedljivo datoteko, je malo verjetno. Če želite biti prepričani, lahko preverite lokacijo datoteke. V upravitelju opravil z desno miškino tipko kliknite kateri koli proces Host Host in izberite možnost »Open File Location«.
Če je datoteka shranjena v vašem Windows System32
mapo, potem ste lahko dokaj prepričani, da se ne ukvarjate z virusom.
Pravzaprav je tam Trojan, imenovan Conhost Miner, ki se maskira kot proces Host Host Window. V upravitelju opravil je videti kot pravi proces, vendar pa bo malo kopanja razkrila, da je dejansko shranjena v % userprofile% AppData Roaming Microsoft
namesto mape Windows System32
mapo. Trojan je dejansko uporabljen za ugrabitev vašega računalnika, da bi odstranil Bitcoins, tako da je drugo vedenje, ki ga boste opazili, če je nameščen na vašem sistemu, da je poraba pomnilnika višja, kot bi lahko pričakovali, in uporaba CPU-ja se ohranja na zelo visokih ravneh (pogosto nad 80%).
Seveda je uporaba dobrega virusnega skenerja najboljši način za preprečevanje (in odstranjevanje) zlonamerne programske opreme, kot je Conhost Miner, in to je vsekakor nekaj, kar morate početi. Bolje varen kot žal!